Inicio / Content / Boletín de INCIBE-CERT del 27-01-2020

Boletín de INCIBE-CERT del 27-01-2020

Vulnerabilidad de acceso a reuniones sin autenticación en Cisco Webex

Fecha de publicación: 
27/01/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Cisco Webex Meetings Suite, versiones anteriores a 39.11.5;
  • Cisco Webex Meetings Online, versiones anteriores a 40.1.3.
Descripción: 

Se ha identificado una vulnerabilidad de severidad alta en productos Cisco, que podría permitir que un atacante remoto no autentificado ingresase en una reunión de videoconferencia protegida con contraseña.

Solución: 

Las actualizaciones que corrigen la vulnerabilidad indicada pueden descargarse desde el panel de descarga de Software de Cisco.

Detalle: 
  • Una vulnerabilidad en los productos Cisco Webex Meetings Suite y Cisco Webex Meetings Online podría permitir a un asistente remoto, no autenticado, unirse a una reunión protegida por contraseña sin proporcionar la contraseña de la reunión. El intento de conexión debe iniciarse desde una aplicación móvil de Webex para iOS o Android. Se ha asignado el identificador CVE-2020-3142 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos IBM

Fecha de publicación: 
27/01/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • IBM Security Secret Server, todas las versiones;
  • IBM WIoTP MessageGateway, versión 5.0.0.1;
  • IBM IoT MessageSight, versión 5.0.0.0;
  • IBM IoT MessageSight, versión 2.0.
Descripción: 

IBM ha detectado dos vulnerabilidades, una de severidad alta y otra crítica, que afectan a varios productos. Un atacante remoto podría ejecutar código arbitrario en el sistema, generar una condición de denegación de servicio (DoS), u obtener información sensible.

Solución: 
Detalle: 
  • La vulnerabilidad de severidad crítica afecta a los dispositivos Watson IoT MessageGateway Server. Estos dispositivos son vulnerables a un desbordamiento de búfer cuando gestionan peticiones HTTP fallidas con contenido específicamente formado en sus cabeceras. Un atacante remoto podría ejecutar código arbitrario o generar una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2020-4207 para esta vulnerabilidad.
  • La vulnerabilidad de criticidad alta afecta a Security Secret Server. Los dispositivos son vulnerables a un ataque de redireccionamiento abierto, pudiendo generar sitios web específicamente creados para engañar a la víctima. Un atacante remoto podría obtener información sensible. Se ha reservado el identificador CVE-2019-4631 para esta vulnerabilidad.

Encuesta valoración